Pages

10/29/2010

Derren Brown

เพิ่งได้ยินชื่อชายที่ชื่อ Derren Brown เป็นครั้งแรกเมื่อวันก่อน
พร้อมกับได้รับคำนิยมมาขนาดว่า...
 Derren เนี่ยนะ.. เดินไปตามถนน เจอคนซักคนนึงใครก็ได้  ก็พูดคุยแล้วก็บอกให้ปลดนาฬิกา มือถือ กระเป๋าสตางค์ให้ คนๆนั้นก็ปลดตามเลยอย่างง่ายดาย โดยไม่มีการบังคับอะไรทั้งนั้น

หรืออีกเคสนึงก็คือ Derren Brown เนี่ย  ถือกระดาษเปล่าๆที่ตัดเป็นขนาดธนบัตร เดินเข้าร้านเพชร
แล้วก็ซื้อเพชรโดยจ่ายเงินให้ด้วยแบงค์กระดาษเลย  แล้วก็เดินออกมาเฉยๆ

อะไรคนเรามันจะเทพได้ขนาดน้าน!!?!!?

เลยเข้าไป youtube แล้วค้นคำว่า  Derren Brown
ก็เจอสองวีดีโอที่เขากล่าวถึง


Derren Brown - "Paying with Paper"


http://www.youtube.com/watch?v=3Vz_YTNLn6w



Russian Scam (Complete)


http://www.youtube.com/watch?v=DR4y5iX4uRY

นอกจากนั้น ยังมี vdo อีกมากมายใน youtube เช่น สามารถเปลี่ยนตั๋วพนันที่แทงแพ้ เอาไปขึ้นเงินได้, สะกดจิตคนให้เมาโดยไม่ต้องดื่ม, ทายใจคนอื่นได้, หรือว่าเล่นหมากรุกแข่งกับGrandMaster 9 คนพร้อมกัน
เทพจริงๆ

Derren Brown:  เป็นนักสะกดจิต+มายากล ที่แสดงโชว์อยู่ทางช่อง Channel4 ของอังกฤษ  ในรายการ Mind Control(1999), Trick of The Mind(2005), Waking Dead(2005), Trick or Treat(2007), Mind Control with Derren Brown(2007), Derren Brown: The Events (2009), Derren Brown Investigates (2010)

รายการนี้จะขึ้นต้นโดยบอกผู้ชมว่า
"This program fuses magic, suggestion, psychology, misdirection and showmanship. I achieve all the results you'll see through a varied mixture of those techniques. At no point are actors or stooges used in the show."

10/26/2010

Firesheep: Hack into Facebook, Twitter never been easier.

์News Links:
ReadWriteWeb: At a Cafe? I Can Hack Your Facebook, Twitter, Etc…With a Firefox Extension
TechCrunch: Firesheep In Wolves’ Clothing: Extension Lets You Hack Into Twitter, Facebook Accounts Easily
CNET: Researchers hack toys, attack iPhones at ToorCon

Original website:
http://codebutler.github.com/firesheep/

Firesheep (โดย Ian Gallagher) : Add-on ปลั๊กอินบน Firefox ที่สามารถดักจับข้อมูลที่ไม่ได้เข้ารหัส ที่วิ่งผ่าน Wifi และขโมยข้อมูล cookie ของเวปนั้น เพื่อนำมาใช้ login ได้ทันที
แถมวิธีทำก็ไม่ต้องยุ่งวุ่นวาย
เพียงแค่เปิดปลั๊กอินตัวนี้ทิ้งไว้
รอให้มันดักจับข้อมูลซักครู่
และคลิ๊กที่ user ใดก็ได้ที่ดักจับได้
เพียงแค่นี้ Firefoxก็จะเปิดหน้าแรกของบัญชีนั้นให้เสร็จสรรพเลย
แต่น่าเสียดาย ตอนนี้ยังรับรองแค่ Windows , Mac OS X   (อยากให้เอาลง Linux จังจะได้ลองมั่ง)

(screenshot จาก http://codebutler.com/firesheep)

Tool ตัวนี้เป็นโปรแกรมที่ถูกพัฒนาขึ้น เพื่อประกอบการพรีเซนต์ของเขาที่ http://codebutler.github.com/firesheep/tc12
ที่ Toorcon 12 San Diego - October 2010
(กดลูกศรซ้ายขวาเพื่อเลื่อนดู)
อธิบายช่องโหว่ในที่ hacker ใช้ในการโจมตี
และอธิบายวิธีการต่างๆ ที่สามารถใช้ป้องกันตัวได้

นอกจากนั้นหลายคน เสนอวิธี VPN เพื่อสร้าง secure channel ก่อนจะออกอินเตอร์เน็ต
ซึ่งควรจะเป็นวิธีดีที่สุด ... แต่แพง

และอีกวิธีนึงคือ ใช้ HTTPS Everywhere  (https://www.eff.org/https-everywhere)
หรือ ForceTLS (https://addons.mozilla.org/en-US/firefox/addon/12714/)
ทั้งคู่เป็น add-on ของ firefox เพื่อสร้าง TLS/SSL ครอบข้อมูลเพื่อเข้ารหัส  จะได้ไม่ถูกดักจับและใช้ได้เลยเหมือน HTTP

update: เผลอแป๊ปเดียวมีคนทำ review-tutorial ไว้เพียบเลย นี่เป็นหนึ่งในนั้น

10/25/2010

Coolbits in Nvidia Driver

Adding "Coolbits" option in Nvidia config to enable GPU overclocking menu

in /etc/X11/xorg.conf
add this line under "Screen" section
Option    "Coolbits"  "1"

So it becomes:
Section "Screen"
    Identifier     "Screen1"
    Device         "Device1"
    Monitor        "Monitor1"
    DefaultDepth    24
    Option         "TwinViewXineramaInfoOrder" "CRT-0"
    Option         "TwinView" "0"
    Option         "metamodes" "CRT: nvidia-auto-select +0+0"
    Option         "Coolbits" "1"
    SubSection     "Display"
        Depth       24
    EndSubSection
EndSection

In some system, it doesn't work if adding under "Screen" section.
Try adding under "Device" section.

Setting Coolbits to other numbers give different configurations

Coolbits 4 : enable fan control , but disable freq control
Coolbits 5 : enable both fan and freq control

Others, see manual
ref: http://us.download.nvidia.com/XFree86/Linux-x86/190.53/README/appendix-b.html

More:

Adjusting Fan Speed on Ubuntu 10.10 for Dell XPS m1330

From http://ubuntuforums.org/showthread.php?t=842775
It's a bit quite old thread, but I have been using my XPS m1330 for more than 2 years now, just started to use Ubuntu recently. And here is problem i met.
69 C !!! idle  (normally it's around 70 - 75 C idle)
yet the fan is running at full speed all the time. It's soooo noisy.

Therefore, I have researched for a fix for this problem.
Some says that the temperature sensor/software has a bug in it, so it always tells +10 C from actual temperature.

But that doesn't solve the noise problem.

So, I did search again, and found the above link.

Here's the installation (I tried from that site)

#1 install the i8kutils package
# this package comes with i8kmon(for Dell fan speed monitor/setting) and i8kbuttons (for button config)
sudo apt-get install i8kutils

#2 add "i8k" into /etc/modules
sudo echo "i8k" >> /etc/modules

#3 It says add "options i8k force=1" on a new line in /etc/modprobe.d/options"
#   Since i couldn't find it, i created a new file   /etc/modprobe.d/i8k.conf
sudo echo "options i8k force=1" > /etc/modprobe.d/i8k.conf

#4 adding i8k module with modprob
# ps. I did without "force=1", it shows similar error to this
# FATAL: Error inserting i8k (/lib/modules/2.6.33-ARCH/kernel/drivers/char/i8k.ko): No such device
sudo modprobe i8k force=1 

#5 create file /etc/i8kmon.conf and put the following into the file
# i did some experiment with the original settings from the post above
# timeout == duration before i8kmon check CPU temp again
# temperatures in the thresholds are in Celsius and they're captured from CPU sensor.
# my laptop has only one fan.
# here is my current setting:
# Run as daemon, override with --daemon option
set config(daemon)      0

# Automatic fan control, override with --auto option
set config(auto)        1

# Report status on stdout, override with --verbose option
set config(verbose) 1

# Status check timeout (seconds), override with --timeout option
set config(timeout) 20

# Temperature thresholds: {fan_speeds low_ac high_ac low_batt high_batt}
set config(0)   {{-1 0}  -1  30  -1  30}
set config(1)   {{-1 1}  30  60  30  60}
set config(2)   {{-1 2}  60  128  60  128}

# For computer with 2 fans, use a variant of this instead:
# Temperature thresholds: {fan_speeds low_ac high_ac low_batt high_batt}
# set config(0) {{-1 0}  -1  52  -1  65}
# set config(1) {{-1 1}  41  66  55  75}
# set config(2) {{-1 1}  55  80  65  85}
# set config(3) {{-1 2}  70 128  75 128}

# end of file

#6 three ways to run this app

#6.1 using i8kmon daemon
#   Enable i8kmon in /etc/default/i8kmon
#   if trying to run i8kmon right now, it'll say it's locked by /etc/default/i8kmon
#   to unlock, change "ENABLED=0" to "ENABLED=1" in that file.
sudo gedit /etc/default/i8kmon

#   run daemon
sudo /etc/init.d/i8kmon start

#6.2 run i8kmon standalone version
# simply run "i8kmon" or "/usr/bin/i8kmon"
i8kmon

#6.3 using Swallow-applet
# applet is automatic started when login, plus it allows user interaction/monitoring at anytime
#install  gnome-swallow-applet
sudo apt-get install gnome-swallow-applet

#    right click at the top panel, select "Add to Panel" 
#    choose  "Swallower Meta-Applet" then click "Add"
#    in program to run, type:   i8kmon 
#    leave another field blank and press "OK"


Above number is current CPU temperature (not GPU temperature).
The button below allows user to switch to different fan speed (from the configurations).
It also automatically changes fan speed to match with temp.

edit:
I just realized the CPU temp shown in the pic above is not correct.
After i update my laptop's BIOS from version A14 --> A15, temperature goes from 33 C --> 50 C
(update BIOS for Dell : http://linux.dell.com/wiki/index.php/Tech/libsmbios_dellBiosUpdate)

one last important step!!!
I have been using the above configuration for awhile, and it really does annoy me, because every time it sets to slower fan speed, it changes the fan speed back to the highest in few seconds.
And it sounds like  "puff!" all the day.

The hack to fix it is to change the timeout delay to just 200 ms.
Although, you can't not do that with the default configuration (/etc/i8kmon.conf) because it only allows incremental of 1 second,
you can hack the executable /usr/bin/i8kmon by yourself!!!!

Just go use
sudo gedit /usr/bin/i8kmon

and change the line like this (about line #127)
set status(timer) [after [expr $config(timeout)*1000] {status_timer}]
to
set status(timer) [after [expr $config(timeout)*200] {status_timer}]

This will make the incremental unit in /etc/i8kmon.conf to be incremental by 200 ms, instead of 1000ms (1sec).

Next step is to change the config in /etc/i8kmon.conf
to set timeout to be 1

set config(timeout) 1
And that's it. Quiet XPS M1330, there you go.



P.S. to change i8kmon to be run as a service
edit /etc/default/i8kmon  change to ENABLE=1
and edit /etc/i8kmon.conf  change daemon = 1 too

Witty Script for Automatic Hacking Wifi Key

Original Post @ http://g0tmi1k.blogspot.com/2010/09/scriptvideo-wiffy-v01.html
by g0tmi1k      

Witty เป็น script ที่ใช้สำหรับ hacking เข้าไปสู่ระบบ wireless ทั้ง WEP/WPA/WPA2 แบบอัตโนมัติ
แทบจะไม่ต้องทำอะไรเลยนอกจาก สั่งWitty รันครั้งแรกครั้งเดียว
แถมยังมีการปลอม MAC address ให้ด้วย

Hack(Post Exploit) into unix server via PHP+SQL injection

I should post this long ago, but for unknown reason I saved it as a draft.

Debian <=5.0.6 /Ubuntu <=10.04 Webshell-Remote-Root

# Exploit Title: Debian <=5.0.6 /Ubuntu <=10.04 Webshell-Remote-Root# Date: 24-10-2010
# Author: jmit# Mail: fhausberger[at]gmail[dot]com
# Tested on: Debian 5.0.6# CVE: CVE-2010-3856
http://www.exploit-db.com/papers/15311/



ubuntu doesn't have "nc -e .." anymore (some said use '-c' instead)
https://bugs.launchpad.net/ubuntu/+source/netcat/+bug/566377

Cool App in Ubuntu

10 things to do after installing Ubuntu 10.10 by Maverick Meerkat
10 อย่างที่ควรทำหลังจากลง Ubuntu 10.10
http://www.omgubuntu.co.uk/2010/10/10-things-to-do-after-installing-ubuntu-10-10-maverick-meerkat/


Android-style animated desktop wallpaper for Ubuntu
หน้าจอdesktop แบบเคลื่อนไหวแบบAndroid
http://www.omgubuntu.co.uk/2010/10/animated-galaxy-desktop-wallpaper-for-ubuntu/
sudo add-apt-repository ppa:ilap/lwp 
sudo apt-get update && sudo apt-get install compiz-plugins-livewallpapers


GmailWatcher – Another way to get GMail alerts in the Ubuntu Messaging Menu
เช็ค Gmail โดยระบุแยกเป็น account และระบุlabel ได้ และตั้งได้ว่าจะให้อัพเดตทุกกี่นาที
http://www.omgubuntu.co.uk/2010/07/gmailwatcher-another-way-to-get-gmail-alerts-in-the-ubuntu-messaging-menu/
sudo add-apt-repository ppa:loneowais/ppa
sudo apt-get update && sudo apt-get install gmailwatcher
แต่สีมันสีแดง ไม่ค่อยเข้ากับเมนูเท่าไหร่เลยลงตัวนี้แทน
https://launchpad.net/gm-notify

Ubuntu mono tray icons for Caffeine
Caffeine มีเพื่อป้องกนไม่ให้ screensaver/sleep เข้ามาในขณะที่กำลังนั่งทำงานอยู่
http://www.omgubuntu.co.uk/2010/05/ubuntu-lucid-icons-for-caffeine-the-computer-sleep-inhibitor/
sudo add-apt-repository ppa:caffeine-developers/ppa
sudo apt-get update && sudo apt-get install caffeine

UbuntuTweak
โปรแกรมจัดการปรับแต่งUbuntu แบบ all-in-one (แทบจะทุกsettingรวมที่เดียว)
http://ubuntu-tweak.com/
sudo add-apt-repository ppa:tualatrix/ppa
sudo apt-get update && sudo apt-get install ubuntu-tweak

CloudSN: Google Reader, Identi.ca, Facebook Or Any RSS Feed Notifier (And More) With Messaging Menu Integration
อัพเดต google reader และอื่นๆ ผ่านทาง Indicator Applet
(หลังจากลงแล้ว ต้องเข้าไปตั้งให้ integrate กับ Indicator Applet ด้วย  ในเมนูedit-->preferences-->indicate status with)




10/24/2010

10/22/2010

Bug Empathy Cannot Connect to MSN

เพิ่งมีปัญหากับ Empathy ว่าไม่ยอม Connect MSN ให้ซักที
ขณะที่ Facebook chat, GTalk ก็ต่อได้ตลอดแล้วนะ  ก็ยังมีวงกลมหมุนๆ อยู่ทางขวาอยู่ตลอดเวลาเลย


พอลองไปค้นๆดู  เลยเพิ่งรู้ว่า มีคนมีปัญหาแบบเดียวกันกับเราเหมือนกัน
https://bugs.launchpad.net/ubuntu/+source/papyon/+bug/663670

สรุปว่า  มันเป็น bug ใหม่ของโปรแกรม  โดยคาดว่าในวันที่ 19 October
Microsoft ได้ทำระบบ login ของMSN ในการเข้าไปเรียกรายชื่อ contact list ออกมา
จึงทำให้ Empathy ทำงานได้ไม่ถูกต้อง

ทาง Kakaroto ก็เลยมาเสนอpatchสำหรับการแก้ปัญหานี้
ด้วยการเข้าไปที่
/usr/share/pyshared/papyon/service/description/SingleSignOn
หรือบางเครื่องอาจจะเป็น
/usr/lib/pymodules/python2.6/papyon/service/description/SingleSignOn/

เพื่อเข้าไปแก้ไขไฟล์ชื่อ  RequestMultipleSecurityTokens.py

โดยการแก้บรรทัดนี้
CONTACTS = ("contacts.msn.com", "?fs=1&id=24000&kv=7&rn=93S9SWWw&tw=0&ver=2.1.6000.1")
เปลี่ยนเป็น
CONTACTS = ("contacts.msn.com","MBI")

แล้วก็ทดลอง Quit โปรแกรม แล้วก็เปิดใหม่ แค่นี้ก็เรียบร้อย

patchไฟล์ง่ายขนาดนี้เลย Linux นี่เยี่ยมจริงๆ

HP Slate v.s. Ipad

Comparing HP Slate - iPad  (pic. from Engadget) **รูปนี้เก่าแล้ว มีหลายอย่างที่ถูกแก้ไข กล่าวถึงด้านล่าง

สำหรับใครที่ไม่รู้   HP Slate คือ อุปกรณ์ประเภทTablet Computerที่ทำออกมาเพื่อแข่งขันกับ iPad เลย
ด้วยความที่ iPad มาจาก Apple  ซึ่งจะเน้นความสมบูรณ์พร้อม (ไม่ต้องการอะไรเพิ่มอีกแล้ว)
ทำให้ HP Slate ยังตีตลาดในด้านการที่ มีอะไรมากมายให้ใช้เพิ่มได้
เช่น
  USB port, SD/SDHC/SDXC card reader, conventional SIM card tray, RAM (possibly upgradable),

แถมเพิ่มอีกสองอย่างคือ

  • ระบบการใช้ปากกา Digitizer   สามารถเขียนลงบนหน้าจอและแปลงเป็นตัวอักษรได้เลย

(ฟังก์ชั่นนี้มากับ Windows แบบ Tablet)


  • มี Docking Station ที่สามารถต่ออุปกรณ์/พอร์ทเพิ่มได้ เช่น Keyboard, HDMI, USB


นอกจากนี้  จาก spec ยังมีที่เหนือกว่าอีกหลายด้านเช่น

  • CPU 1.86 GHz Intel Atom Z540
  • 2GB 800MHz DDR2 RAM
  • ใน Graphic Card (Intel Graphics Media Accerelator 500) มีชิป Broadcom's Crystal HD สำหรับแสดงผลแบบ 1080p
  • มีกล้อง 3 MP ด้านหลัง  และมี VGA webcam ด้านหน้า  สำหรับทำ vdo chat ซะด้วย

และยังมาพร้อมกับ Windows 7 Pro   (วินโดว์น่าจะมีสโลแกนว่า  วินโดว์...อะไรที่ทุกๆคนใช้กัน)
แน่นอนว่า  ก็คงจะมี application อะไรมากมายที่เราเล่นกันอยู่ปัจจุบันบนวินโดว์ และก็อยากเอามาพกไปเล่นในท่ต่างๆ แต่ก็ไม่อยากจะยก PC หรือว่าแบกโน๊ตบุ๊คไปไหนมาไหนแน่ๆ

Teaser จาก HP


Hand-on by Engadget:


สำหรับราคา..   ทาง HP เพิ่งประกาศออกมาเป็นทางการ
$799 สำหรับ ตัวที่มี SSD ขนาด 64GB

Ref:

10/19/2010

Malware จาก Facebook ภาค 2

จากภาค1 ที่ http://dearpcyp.blogspot.com/2010/10/malware-facebook.html

คราวนี้เจอสายพันธุ์ที่สอง
URL เป็น


http://web-imgs.com/view.php?=100000603338391



พอรับมาเป็นเป็นไฟล์ชื่อเดิมเลย
แต่พอ md5sum แล้วไม่ได้ hash เดิมแฮะ



$ md5sum P1753577.JPG-www.facebook.exe
62e4a7ea9ddbdfac04873609df5da275  P1753577.JPG-www.facebook.exe


เหมือนเดิม เอาไปส่ง cwsandbox, virustotal
http://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=73912891&cs=8A5E015D9308C31E18B6EC1440BCCFC1

แต่คราวนี้ไม่ได้รอให้มันสแกนให้เพราะว่า ทั้งคู่มีคนเอา ไวรัสตัวนี้ไปสแกนไว้แล้ว
เราก็เลยเอา md5 เทียบ เอาผลมาเลย

น่าแลปก มี Process รันไม่กี่ตัวเองแฮะ

พอเข้ามาดูรายละเอียด ..  ก็เจอว่า มันโดนดักตั้งแต่ Process แรกแล้วนี่นา
Antivirus เจอเพียบเลย

Process ที่เหลือที่ทำงานก็แค่สั่ง
net stop ซึ่งไปสั่ง  net1 stop ต่ออีกที
แล้วก็มีการเรียกตัวเองรันอีกรอบนึง  (แต่ก็โดนantivirus ตัดตอนอีกรอบอยู่ดี)

ผลก็เลยไม่ได้อะไรเลย

ลองไปดูใน ThreatExpert มั่ง
http://www.threatexpert.com/report.aspx?md5=62e4a7ea9ddbdfac04873609df5da275


 Threat Expert บอกว่า อันตรายเพราะ..
มีการต่อไป IRC server
มีการส่งข้อมูลออกนอกเครื่อง
มีการดาวน์โหลดไฟล์
มีการแก้ Registry
มีลักษณะที่เป็นอันตราย  ***

ตรงนี้บอกชัดเลยว่าเป็น bot/trojan และมีการแก้ไขไฟล์ต่างๆดังนี้

นอกจากนี้ก็คือทำตัวเหมือนกับ ตัวเก่า
ปลอมตัวเป็น nvidia driver, ปิด windows update, ฝังตัวเองให้รันตอนเปิดเครื่อง
แล้วก็เรียกหน้าเวปมากมาย เพื่อทั้งเจาะข้อมูล และ หาที่ๆจะไปต่อ
และก็ต่อ IRC กลับไปเหมือนเดิม

น่าสนใจตรง IP ที่มี port=1234 เนี่ยแหละ  เอาไปเช็คดูแล้ว มาจาก มาเลเซีย แฮะ (ของอีกตัว ตัวเก่ามาจากอเมริกา)


พอมาดูที่ VirusTotal บ้าง
http://www.virustotal.com/file-scan/report.html?id=8cd44fcc3533c9addc52f1b50ab71a176a1b82f6e4ef57f179ed286117147a3d-1287492901

จากเดิมที่ antivirus ตรวจเจอ 9/43  ว่าเป็น GenPack:Trojan.IRCBot.ZR
แต่คราวนี้ ตรวจเจอตั้ง 16/43  แถมส่วนใหญ่ตรวจเจอว่าเป็น GenPack:Generic.Malware.SFYdC.3AD41368
ดูท่าทางตัวนี้จะอ่อนกว่าอีกตัวแฮะ เจอตั้ง 16 ยี่ห้อจาก 43 ยี่ห้อ


แต่.. antivirus เหล่านี้ก็ยังตรวจไม่เจออยู่ดี
McAfee, Kaspersky, Symatec, TrendMicro, Sophos


10/18/2010

USBsploit

สร้างโปรแกรมเพื่อทำตัว backdoor ให้เครื่องอื่นติดต่อกลับมา
พร้อมทั้งยัังคอยทำตัวเป็นไวรัสในที่จะcopyตัวเองใส่ USB ทุกอันที่มาเสียบในเครื่องด้วย
เบื้องหลังทำงานด้วย Metasploit แบบLight (27MB), ใช้UI แบบ Social Engineering Toolkit, และรองรับการใช้ช่องโหว่ LNK และ Autorun แล้ว

เริ่มต้นทำงานด้วยการ config ค่าต่างๆเพื่อสร้างไฟล์อันตรายขึ้นมาก่อน (something.exe)
หลังจากนั้น นำไฟล์นี้ไปวางไว้ที่เครื่องเหยื่อ และให้เหยื่อกดรันไฟล์นี้ให้ได้
เมื่อรันไฟล์นี้แล้ว จะเกิดการสร้างconnectionกลับมาที่เครื่อง attacker ผ่านทาง meterpreter
และยังคอยเฝ้าเช็คการเปลี่ยนแปลงของ drive ทุกๆอันในเครื่อง ว่ามีการเสียบ USB เข้ามาใหม่รึเปล่า
ถ้ามี  จะทำการcopy filesหลายๆตัวลงไปโดยอัตโนมัติ   ไฟล์ที่ว่านี้รวมถึง autorun.inf, autorun.ico, autorun.lnk
คือถ้าเหยื่อไม่โดนการโจมตี autorun  ก็ต้องโดนการโจมตีผ่าน LNK แน่ๆ
และเมื่อUSBติดเชื้อแล้ว  ไปเสียบต่อเครื่องอื่น ก็จะโดนโจมตีเหมือนเดิมเช่นกัน

file download : https://www.secuobs.com/usbsploit/usbsploit-0.3-BETA-linux-i686.tar.gz
VDO: using LNK infection : http://secuobs.com/news/12102010-usbsploit_v0.3b_meterpreter_msf_1.shtml


more links...
http://www.securityfocus.com/archive/1/514287

Dumping SVN Repository Remotely

ปัญหาสำหรับวันนี้คือ
มี server SVN อยู่ตัวนึง

  • รัน SVN อยู่
  • Windows
  • มี RDP ให้เข้า แต่ลืม pass
  • ไม่มี SSH
  • SVN เปิดให้ใช้แบบ HTTP ได้
ทำยังไงจะ backup SVN ตัวนี้ทั้งก้อนออกมาได้ 

ถ้าไม่ต้องคิดจะเอา revision ต่างๆตั้งแต่แรกมาด้วย  ก็ใช้ check out อย่างเดียวก็จบ
mkdir mylocalrepository
svn co http://servername/repository

แต่นี่จะเอาตั้งแต่ revision แรก
ก็เลยจะต้องใช้คำสั่ง svnadmin dump
svnadmin dump repositorypath
แล้วก็กะจะเอาลงไฟล์เป็นแบบนี้
svnadmin dump repositorypath > backup_rep.svn
แต่พอลอง
ptantiku@ptantiku-desktop:~/$ svnadmin dump http://servername/repository
svnadmin: 'http://servername/repository' is an URL when it should be a path
นั่นแปลว่า repositorypath จะต้องเป็นpathแบบlocalเท่านั้น  ห้ามใช้dumpข้ามเครื่อง

เลยต้องไปค้นดูว่าจะทำไงบ้าง
---- เจอ rsvndump  ทำได้ตรงๆเลย  น่าเสียดายดัน bbuilt ไม่ผ่าน หาใน app-get ของ ubuntu ก็ไม่เจอ
(http://rsvndump.sourceforge.net , http://blog.sourcehosting.net/2008/11/03/dump-remote-subversion-repository/)
update:: download ที่เป็น tar.gz มา แล้วลง package เพิ่มอีกคือ libapr1-dev กับ libsvn1-dev (รวมถึงdependency)  แล้วจะสามารถ make, make install ได้ง่ายๆ
ซึ่งถ้าใช้ตัวนี้แล้วง่ายมาก  แค่  
$rsvnsync  http://servername/repository  >  backup_rep.svn

---- มีบางคนบอกให้ไปลองใช้  svk  ซึ่งเป็นเครื่องมือจัดการกับพวกversion control อันนี้ยังไม่ได้อ่านและลอง
http://moelhave.dk/2006/07/remote-mirroring-a-subversion-svn-repository/ อันนี้ดันบอกให้สร้างจำลองมาไว้ ในเครื่องตัวเองก่อน เห็นว่ายุ่งยากเลยไม่เอา)  และ SVK ไม่มีอยู่ใน app-get ของ ubuntu มาตรฐาน

---- สุดท้ายก็เลยมาลงที่เครื่องมือพื้นฐานของ SVN  ที่ชื่อว่า svnsync

โดยสร้าง repository เปล่าๆที่เครื่องก่อน
svnadmin create /home/svn/repository
ตั้งค่า hooks
echo ‘#!/bin/sh’ >  /home/svn/repository/hooks/pre-revprop-change
chmod +x /home/svn/repository/hooks/pre-revprop-change
สั่ง svnsync เพื่อทำการดาวน์โหลดrepositoryในแต่ละrevisionจากserver
svnsync init file:////home/svn/repository http://example.com/project_repository
svnsync sync file:////home/svn/repository
เมื่อ sync เสร็จแล้ว
สั่ง svnadmin dump ที่เครื่องเพื่อ เอาออกมาเป็นไฟล์
svnadmin dump /home/svn/repository > backup_rep.svn 
แล้วก็ลบทิ้งด้วย
rm -rf /home/svn/repository 

ได้มาแล้วก็ต้องทดสอบ  ด้วยการสร้างrepository ขึ้นมาใหม่แล้วก็ ลองใส่เข้าไป
mkdir  /home/svn/newrepo
svnadmin create /home/svn/newrepo
svnadmin load /home/svn/newrepo < backup_rep.svn

พอเห็นผลลัพธ์เป็นอะไรทำนอง

------- Committed revision 264 >>>

<<< Started new transaction, based on original revision 265
     * editing path : ABC/.classpath ... done.
     * editing path : ABC/META-INF/MANIFEST.MF ... done.
     * adding path : ABC/ABCInterfaces.jar ... done.
     * adding path : ABC/ABCNotebook.jar ... done.
     * editing path : ABC/build.properties ... done.
     * editing path : ABC/build.xml ... done.

ก็โอเคละ ผ่าน ใช้ได้

10/17/2010

CommandFu ศูนย์รวมคำสั่งเจ๋งๆบน command line

Commandfu.com เป็นเวปที่รวบรวมคำสั่ง command line แบบต่างๆไว้ให้เลือกใช้กัน
โดยมีคำอธิบาย และ ระบบโหวตด้วย
ถ้าใครมี command อันไหนที่คิดว่าเด็ด อยากจะแชร์ ก็โพสต์เข้าไปได้


แค่ theme ในหน้านี้ก็สีได้ใจไปแล้ว   เหมือน command line interface บนคอมเก่าๆจริงๆ

ด้านขวามี feed ให้เลือกรับ 3 แบบด้วย

  • All : รับหมด
  • 3+ : ต้องมี 3 โหวตขึ้นไป
  • 10+ : ต้องมี 10 โหวตขึ้นไป
เราก็เลยเลือก 3+ ซะ จะได้เอามาลองดูเล่นๆ



พอลองมาดูเปิด feed ดูตอนนี้เลย ก็เจออะไรเด็ดๆละ

ดูน่าสนใจดี ไหนมาลองหน่อยซิ  (หมายเหตุ ต้องลง package ชื่อ "dialog" ก่อนด้วย)

ผลลัพธ์ออกมาเป็นหน้าแบบนี้

อื้ม.. ดูดีนะ
หน้าจอรันไปเรื่อยๆ  แล้วก็สุ่มคำเรื่อยๆจาก /usr/share/dict/words
ถ้ากดเป็น full screen ไปก็คงเป็นข้ออ้างได้เลยว่า เครื่องมันรันอยู่  ขอกินกาแฟก่อน :D

อ้อ.. เวลาจะออก กด Ctrl+C ก็หลุดละ


น่าสนใจดีเวปนี้  I'm looking forward to see more...

Malware จาก Facebook

ในที่สุดก็ได้มาซักทีไวรัสตัวนี้  ในที่สุดก็มีคนส่งLinkมาให้ทางFacebook (ตอนนี้ใช้Linuxเลย ใช้Empathyอยู่)

มาถึงก็ Foto http://google-pics.com/image_id.php?=.... เลย
ลองเอาhostnameมาตรวจกับwho.is ก็เจออะไรฮาๆ
Google-pics.com เนี่ยนะ  แต่ทำไม dns,mail,address ชี้ไปหา Yahoo! หมดเลยล่ะ
หรือว่าสองบริษัทนี้ควบรวมกันตั้งแต่เมื่อไหร่?  ฮ่าๆๆๆ


พอกดเปิดลิงค์นั้นเข้าไปปุ๊ป  ขึ้นไฟล์มาให้โหลดเลย  ชื่อ
P1753577.JPG-www.facebook.exe
เอาล่ะ ดูน่าสนใจดีนะ เหมือนจะเป็นไฟล์รูปเพราะมี .JPG ซะด้วย แถมต่อท้ายว่ามาจากfacebook
(ถ้าไม่มอง extensionต่อท้ายว่าเป็น exe คนทั่วไปก็คงโหลดไปแล้ว
เพราะเดี๋ยวนี้ www นอกจากจะมี dot com แล้ว เดี๋ยวนี้มี dot exe แล้วด้วย ฮ่าๆ)

ว่าแล้วก็....โหลด โลดดดดดด

เลยได้ไฟล์ส่งไปให้ cwsandbox ลองเทสต์ให้
รอนานมากเลยคราวนี้ กว่าจะได้ผลมา
ผลเต็มๆอยู่ link นี้ http://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=12067447&cs=14AE20682B681145080C6A78B789D0E0
แต่จะเอามาเขียน เท่าที่พอรู้ละกัน  งูๆปลาๆ กันไป


หน้าแรก
เปิดมาหน้าแรกก็อึ้งแล้ว ไฟล์เดียว มี main process ตั้ง4ตัว แถมยังมี spawned process อีกมาตั้ง 19 ตัว



หน้าสอง
หน้าสองแสดงรายละเอียดว่าเวลารันไฟล์นี้แล้วมันทำไรบ้าง (เอาเฉพาะที่น่าสนใจมาละ)

Process ID 352, File Name: explorer.exe http://browseusers.myspace.com/Browse/Browse.aspx, File Name Hash: hash_error.
Process ID 428, File Name: sc config MsMpSvc start= disabled, File Name Hash: hash_error.
Process ID 428, File Name: sc config MsMpSvc start= disabled, File Name Hash: hash_error.
Process ID 456, File Name: net stop, File Name Hash: hash_error.
Process ID 576, File Name: net1 stop MsMpSvc, File Name Hash: hash_error.
Process ID 928, File Name: net stop MsMpSvc, File Name Hash: hash_error.
Process ID 940, File Name: net stop wuauserv, File Name Hash: hash_error.
Process ID 996, File Name: netsh firewall add allowedprogram 1.exe 1 ENABLE, File Name Hash: hash_error.
Process ID 1004, File Name: C:\12067447.exe, File Name Hash: 08C4B8BA002652BBF4D90067A8017E003212E097.
Process ID 1064, File Name: net1 stop, File Name Hash: hash_error.
Process ID 1212, File Name: C:\Program Files\Internet Explorer\IEXPLORE.EXE -Embedding, File Name Hash: 9E6DCB2F20C3C667AB9309A3121C40002AB5BC07.
Process ID 1296, File Name: netsh firewall add allowedprogram 1.exe 1 ENABLE, File Name Hash: hash_error.
Process ID 1400, File Name: net1 stop wuauserv, File Name Hash: hash_error.
Process ID 1420, File Name: sc config wuauserv start= disabled, File Name Hash: hash_error.
Process ID 1604, File Name: C:\WINDOWS\system32\cmd.exe, File Name Hash: 2751DD6A00570674F0080506F4B6C600B64FDB50.
Process ID 1612, File Name: net stop, File Name Hash: hash_error.
Process ID 1640, File Name: net1 stop, File Name Hash: hash_error.
Process ID 1828, File Name: C:\WINDOWS\system32\cmd.exe, File Name Hash: 2751DD6A00570674F0080506F4B6C600B64FDB50.
Process ID 1964, File Name: C:\Program Files\Internet Explorer\iedw.exe -h 1364, File Name Hash: 9FC53B5700DB117E0EE701392EDE4E0032635048.
Process ID 2024, File Name: C:\12067447.exe, File Name Hash: 08C4B8BA002652BBF4D90067A8017E003212E097.
Process ID 2032, File Name: C:\WINDOWS\system32\rundll32.exe, File Name Hash: 8F5576C400BCA32982A2003396ABA600A90A8D28.

เหอๆๆ  มีแต่คำสั่ง ตัดเน็ต มีคำสั่งแก้ Windows Firewall ให้โปรแกรมตัวเองผ่าน
มีการเรียกใช้ internet explorer, cmd, explorer, rundll32  แต่ละตัวอันตรายทั้งนั้น
แถมมีการสร้างไฟล์เข้าไปวางที่ไดร์ฟ C:\ กับ C:\Windows ได้อีก อะไรจะขนาดนั้น


หน้าสาม
หน้าสามแสดงว่าโปรแกรมนี้มีการทำงานอะไรกับhard disk บ้าง
ดูน่าสนใจดีมากว่า มันสร้างและเรียกไฟล์อะไรขึ้นมาใช้บ้าง
ยกตัวอย่างเช่น
Process ที่ 4
สร้างไฟล์ nvsvc32.exe (เนียนเป็น Nvidia driver เลย) แถมเอาไว้ที่ C:\WINDOWS !!!! เอาไปไว้ได้ไง????
สร้างไฟล์ 12067447.exe เอาไปไว้ที่ C:\     นี่ก็เหมือนกันทำได้ไงเนี่ย!?!?


หน้าสี่
มาดู Registry Activity ต่อ

ที่ Process แรกๆ มีการเรียกใช้ Registry จาก Media Player (คาดว่าจะมีการเจาะเข้าที่ช่องโหว่แถวๆนั้น)

ที่ Process #4 มีการตั้งค่าให้ Firewall อนุญาตให้โปรแกรมอันตราย(ที่เพิ่งสร้างขึ้น) ออกเน็ตได้
และยังมีการตั้งค่าให้ โปรแกรมอันตรายที่ชื่อ nvsvc32.exe ที่มันเพิ่งสร้าง  เข้าไปอยู่ใน RUN เพื่อให้โปรแกรมตัวนี้รันทุกครั้งที่เปิดเครื่องด้วย!!!
น่ากลัวมั๊ยล่ะ  แถมรันมาแล้วเรายังนึกว่ามันเป็น NVIDIA Driver Monitor ด้วยสิ เครียดไปใหญ่
(แต่คาดว่าคงหลอกคนใช้การ์ดจอค่ายอื่นไม่ได้ 555)

ที่ Process #5 มีการแก้ไขอีกที่ eappcfg

"A creates additional registry values and related data that may redirect the Windows software trace preprocessor (WPP) that traces driver operation to direct trace output to the console instead of an event trace log" จาก http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm:Win32/Lamin.A
แปลว่า  ตั้งค่าให้โปรแกรม Windows Software Trace Preprocessor ที่จะค้นข้อมูลของdriverแต่ละตัวนั้น
แสดงผลออกไปที่ Console แทนที่จะแสดงผลออกที่ event log ซึ่งเราสามารถเปิดดูได้ทีหลัง
ทีนี้ เกิดerrorในการค้นหาไดร์เวอร์นั้นเมื่อไหร่ เราก็ไม่รู้เลย  เราก็จะนึกว่าไดว์เวอร์นี้ถูกต้อง


Process #12 ทำเหมือน Process #5

Process #17 มีการลบการส่ง Error Report ของโปรแกรม PCHealth ด้วย




หน้าห้า
มาต่อกันที่ Network Activities
มีแค่ 4 processes เท่านั้นที่ใช้เน็ตแฮะ
แต่มีแค่ process เดียวที่น่าสนใจ

เห็นๆเลยว่า ใช้ XSS (Cross Site Scripting) แน่ๆ
มีการต่อไปที่ 174.37.200.82 ก่อน  แล้วจึงโดน HTTP Response ว่า Reload
ให้ไปเข้า www.facebook.com/home.php
โชคดีว่าเครื่องที่ทดสอบไม่มีaccount ของ facebook ไม่งั้นคงจะมีอะไรให้ดูมากกว่านี้
พอเข้าหน้า home.php ไม่ได้ก็เลยโดน reloadอีกรอบ
แล้วก็เลยไปเข้าหน้าหลัก www.facebook.com  ถึงเห็นว่ามีการสร้างconnectionจริงๆเกิดขึ้นที่นี่

ต่อ..
จากนั้นก็มีการทำท่าจะต่อไปหลายๆ server คาดว่าจะเป็น Seed URL ของไวรัสตัวนี้
โดยมันจะมองหาแหล่งที่มันเคยเจาะไว้แล้ว และทำตัวเครื่องๆนั้นให้พร้อมรอรบ XSS ให้มันแล้ว
ในที่นี้พอเจอ 174.37.200.82 ก็เลยใช้ตัวนี้เป็นตัวหลักในการโจมตี


และในที่สุดก็สร้าง socket ต่อไปแค่ 3 ที่








อันกลางเป็นตัวทำ XSS  เพื่อต่อเข้าไปที่อันล่างซึ่งเป็น Facebook.com
แต่แล้วก็ส่งข้อมูลกลับไปให้อันแรก  เห็นแค่เลข port ก็แทบจะเดาได้แล้ว ว่าเป็นตัวร้ายแน่ๆ


เป็น requestไป อันแรก แล้วค่อย redirect ไปหา facebook จริงๆด้วย  น่าจะมีการใช้XSSหรือcookie hijacking กันตรงนี้
และยังมีการติดต่อ IRC ช่องที่ชื่อว่า #!nn! เพื่อเข้าไปลบ topic นั้นทิ้งด้วย (ไม่รู้เพราะอะไร อาจจะเพราะใช้แล้วทิ้งมั๊ง?)


ติดต่อไปที่ IP นี้ด้วยโปรโตคอล IRC ซะด้วย (ทำไมหว่า? ง่าย? plaintext?)


หน้าสุดท้าย
เป็นหน้าสรุปของทุกอย่าง
Proc#1:  C:\12067447.exe ---> net stop ---> C:\12067447.exe
Proc#2:  net stop --> net1 stop
Proc#3:  net1 stop 
Proc#4:  C:\12067447.exe ---> netsh firewall add allowedprogram 1.exe 1 ENABLE ---> C:\WINDOWS\nvsvc32.exe ---> explorer.exe http://browseusers.myspace.com/Browse/Browse.aspx 
    open file: \Device\Tcp, \Device\Ip
    copy file: C:\12067447.exe --> C:\WINDOWS\nvsvc32.exb
    C:\mtdlh.dl
Proc#5:  netsh firewall add allowedprogram 1.exe 1 ENABLE
Proc#6:  C:\WINDOWS\nvsvc32.exe --> net stop --> C:\WINDOWS\nvsvc32.exe  (Thread)
Proc#7:  explorer.exe http://browseusers.myspace.com/Browse/Browse.aspx
Proc#8:   C:\WINDOWS\system32\svchost.exe
Proc#9:  net stop ---> net1 stop
Proc#10:  net1 stop
Proc#11:  C:\WINDOWS\nvsvc32.exe ---> netsh firewall add allowedprogram 1.exe 1 ENABLE ---> net stop wuauserv ---> net stop MsMpSvc ---> sc config wuauserv start= disabled --->  sc config MsMpSvc start= disabled ---> Enum Processes (Api-function: Process32First)
  HTTP Connection to:
    http://174.37.200.82/index.php ---> www.facebook.com/home.php
  IRC connection: channel !nn!
  Services:
    open: SC MAnager, RASMAN
  create 14 threads
  impersonate users: 5 times
  created file:
     C:\windows\mdlu.dl, C:\windows\wintybrd.png, C:\windows\wintybrdf.jpg

Proc#12:  netsh firewall add allowedprogram 1.exe 1 ENABLE
   create 4 threads: 
   Services: open: SC MAnager, NapAgent
Proc#13:  net stop wuauserv ---> net1 stop wuauserv
Proc#14:  net stop MsMpSvc ---> net1 stop MsMpSvc
Proc#15:  net1 stop MsMpSvc
Proc#16:  net1 stop wuauserv
Proc#17:  C:\Program Files\Internet Explorer\IEXPLORE.EXE -Embedding ---> "C:\Program Files\Internet Explorer\iedw.exe" -h 1364
Proc#18:  C:\WINDOWS\system32\services.exe
Proc#19:  C:\WINDOWS\system32\services.exe
Proc#20:  sc config wuauserv start= disabled
Proc#21:  C:\Program Files\Internet Explorer\iedw.exe -h 1364
Proc#22:  C:\WINDOWS\system32\wbem\wmiprvse.exe -Embedding



สรุป
ไวรัส facebook ตัวนี้แพร่ทาง facebook
โดยหลอกให้ไปเข้าเวปชื่อแปลกๆ เช่น google-pics.com , web-facebook.com เป็นต้น
แล้วจะโหลดไฟล์ exe เข้ามาในเครื่อง
เมื่อเราเผลอรันไฟล์ๆนั้น  จะมีผลทำให้ไวรัสเข้าไปในเครื่อง
โดยการทำงาน(คร่าวๆ)
ทำการสร้างไฟล์ขึ้นที่ C:\ เป็นชื่อตัวเลขหมด และเริ่มพยายามที่จะย้ายตัวเองให้เป็น
ไฟล์ nvsvc32.exe ที่อยู่ใน C:\WINDOWS
โดยจะพยายามปลอมตัวไฟล์นี้ให้เป็น ไดร์เวอร์ของการ์ดจอ Nvidia
มีการตั้งให้รันทุกครั้งที่เปิดเครื่อง  แถมแก้ให้ทะลุไฟล์วอล  และปลดการตรวจจับ ปิดserviceป้องกันทั้งหมด
ปิดไม่ให้ windows update ได้ และมีการเปิดRASMAN(Remote Access Service Manager) ด้วยเพื่อใช้ในการเจาะช่องโหว่ตรงนี้เพื่อควบคุมสั่งงานเครื่องในภายหลัง
นอกจากนั้น ยังทำการเจาะเข้าทั้ง myspace / facebook เพื่อปล่อยกระจายให้เหยื่ออื่นๆอีกต่อไป
และมีการติดต่อกับ IRC ไปที่serverตัวนึงด้วย (ยังไม่รู้ว่าทำไรกันบ้าง แต่ไม่อยากตามต่อละ)


Antivirus??
เอาไปตรวจที่ virustotal ได้ผลเป็น
http://www.virustotal.com/file-scan/report.html?id=9c047d36b763f29bf601b5d89982cbf7f5e1c90cbeeebc2d2675f1863337d0a8-1287320315

ตรวจเจอว่าเป็น Trojan ชื่อ GenPack:Trojan.IRCBot.ZR
โดยAntivirusที่ตรวจเจอได้คือ
BitDefender, F-Secure, GData, McAfee, Microsoft, nProtect, Panda, Prevx, VBA32

ระวัง! Antivirus ต่อไปนี้ยังตรวจไม่เจอ (ณ วันที่ 17 October 2010)
AntiVir, Avast, AVG, Comodo, Kaspersky, NOD32, PCTools, Symantec, TrendMicro, และผองเพื่อน


วิธีป้องกัน  ทั่วๆไป ก็ ... ดู URL ดีๆ อย่าไปเปิดสุ่มสีสุ่มห้า,  เห็นไฟล์แปลกๆมาให้เช็คก่อน
อัพเดต antivirus และอาจจะต้องเปลี่ยน Antivirus ไปเป็นที่ๆ มันตรวจเจอ


Good Luck

10/13/2010

MSN Live Space is moving to WordPress

เร็วๆนี้ เพิ่งได้รับ email จาก MSN บอกว่า ระบบSpaces ใน Microsoft Live จะโดนควบรวมไปกับ Wordpress แล้ว
คุณจะมีทางเลือกสองทางคือ ไม่ย้ายไป Wordpress ก็ดาวน์โหลดของต่างๆเก็บไว้ที่เครื่องตัวเองได้
และหลังจาก เดือนมีนาคมปีหน้า ระบบ Live space จะไม่มีอีกต่อไป..  ของทุกอย่างจะโดนลบ
(ยกเว้นรูปต่างๆ ซึ่งจะถูกย้ายไปไว้ใน SkyDrive ซึ่งทาง Microsoft จะยังคงเก็บไว้อยู่)

เอาล่ะ ไงก็ย้ายเลยละกัน ไม่มีปัญหาอะไรอยู่แล้ว
โอเค หน้านี้เราไม่มีaccountกับwordpress ... ก็คิดว่ายังไม่อยากได้ของใหม่
ขอใช้ MSN login เข้าละกัน
ก็เลยกดปุ่ม Connect สีส้มๆ

แต่...


บร๊ะ!! ยังต้องให้สร้าง username กับ password อีก
ก็ได้ๆ มาถึงขั้นนี้แล้ว..

Here we go...

Migrating.... please wait....

DONE!!!

It's Very Simple.

And,
I really like the header pic :D

Moonlight: Silverlight on Linux

http://go-mono.com/moonlight/

or package:
  libmoon, moonlight-plugin-core, moonlight-plugin-mozilla

well, it crashed on my Ubuntu

PhotoSynth

http://photosynth.net/

It's quite old, but it's a great idea though.



My temperature checking script

I'm using DELL XPS1330 with Nvidia 8400GS which always having heat problem since it arrived.
Now, I'm using Ubuntu and it crashed several times because of the graphic card's overheating.

That's why I need to check the temperature frequently both CPU and GPU. And the easy way to do is to writing a script.

So, I wrote this script temp.sh and put it in /usr/bin/ as following.
#!/bin/bash
#Written by ptantiku
echo ------CPU------
cat /proc/cpuinfo | grep MHz
acpi -t
echo ------GPU------
nvidia-smi -a | grep Temperature | sed -e 's/^\t//'

The result will look like this when run the command.
ptantiku@ptantiku-desktop:~$ temp
------CPU------
cpu MHz  : 800.000
cpu MHz  : 800.000
Thermal 0: ok, 36.5 degrees C
------GPU------
Temperature  : 73 C

I collect the CPUs' speed as well because I want to check the loading of my CPU.
When the CPU is off the load, it reduces its power consumption and runs at lower speed (my lowest speed is 800 MHz from the top speed of 2400MHz)

10/12/2010

SSLStrip

จากคราวที่แล้วเขียนคร่าวๆว่า ทำไมต้องทำแล้วทำอะไรบ้าง
คราวนี้จะมาลงรายละเอียดว่า SSL Strip ทำงานอย่างไง

แบบปกติก่อน
โดยปกติแล้ว ถ้า Client จะต่อกับ Server ด้วยช่องทาง HTTPS นี้
Client ก็จะสร้างช่องทางเข้ารหัส (Secure Channel) ด้วย TLS/SSL โดยตรงเลยระหว่าง Client กับ Server
ดังนั้นไม่ว่าข้อมูลตรงนี้จะวิ่งผ่านกี่โหนด หรือใครจะมาดักฟังตรงกลางก็ตาม
ก็จะไม่สามารถเอาข้อมูลตรงนี้ออกไปได้ เพราะว่ามันจะถูกเข้ารหัสอยู่

ถ้าเราอยากจะเอาข้อมูลมาล่ะ จะทำยังไง?
นี่เป็นปัญหาหลักของเราเลยว่าเราจะทำยังไงได้ เพื่อให้เราได้ username/password, credit cardnumber, user's information มาได้

ความพยายามครั้งแรกก็คือการใช้ sslsniff

หลักการหลักๆก็คือ เราทำตัวเป็น คนกลาง (Man in the middle)
แล้วทำการปลอมตัวเป็น server (ให้ฝั่งclientเห็น)
แล้วก็ปลอมตัวเป็น client (ให้ฝั่ง server เห็น)
แล้วก็ทำการสร้าง SSL กับทั้งสองฝั่ง
ซึ่งถ้าทำแบบนี้ ก็จะทำให้เวลาclientส่งข้อมูลอะไรไปหาserver  เราก็จะถอดข้อมูลนั้นออกจาก secure channel ได้
ก็จะทำให้เราอ่านข้อมูลนั้นได้
ในเวลาเดียวกัน เราก็เอาข้อมูลนั้นส่งเข้าsecure channel ไปหาserverอีก เพื่อจะได้ response มาส่งกลับไปให้client
พอทำแบบนี้วนไปวนมาแล้ว  (ตามทฤษฎี)มันก็ควรจะเนียนสิ
เพราะฝั่งclientส่งอะไรไปก็ได้รับการตอบสนองกลับจากserver
และฝั่ง server ก็ได้รับการตอบสนองจากclient ก็ไม่น่าจะมีปัญหาอะไร
แต่!!!


แต่เนื่องจาก attacker ทำตัวเป็นคนกลางดังนั้น ถึงแม้attackerจะจำลองตัวเป็นserver
แต่ attacker ก็จะไม่มี certificate รับรอง   ดังนั้นclientก็จะเจอหน้าอย่างที่เห็น
เป็นการเตือนให้clientอย่าเข้าหน้านั้น

เทคนิคนี้ก็เลยใช้ไม่ได้

SSLStrip ก็เลยหาเทคนิคใหม่มาใช้กับกรณีแบบนี้
SSLStrip ทำงานโดยการสร้าง SSL connection แค่ฝั่งเดียวคือฝั่งจาก attacker <--> server
คราวนี้ server จะยังเห็นอยู่ว่ามี client(attacker) ติดต่อเข้ามา และใช้SSL(HTTPS)ด้วย ก็จะยอมส่งข้อมูลมาให้
ฝั่ง client ก็จะยังเห็นว่าตัวเองต่อเข้าถูกserver  เพราะURLถูก, IPของserverก็ถูก เพียงแค่ว่าclientจะเห็นว่าURLใช้ HTTP (ธรรมดา และไม่มีSSL)  แทนที่จะเป็น HTTPS (ใช้SSL) ที่เคยเล่นอยู่แต่เดิมเท่านั้นเอง

พอ Attacker หลอกให้clientส่งข้อมูลแบบ HTTP ที่ไม่มีการเข้ารหัส เข้ามาติดต่อด้วย
Attackerก็จะสามารถดักจับข้อมูลอะไรก็ได้จากตรงนั้น
แถมยังปลอมตัวเป็นclientส่งข้อมูลนั้นผ่านHTTPSไปให้ serverอีก
และพอserverเห็นข้อมูลถูกต้อง แถมยังส่งกันแบบHTTPS ก็จะเชื่อใจ เหมือนclientคนนั้นมานั่งที่เครื่องattackerเอง
จึงยอมส่งข้อมูลให้
attackerก็จะยังสามารถรับข้อมูลจากserver, ถอดการเข้ารหัสออก จาก HTTPS packet ก็จะเหลือแค่ HTTP packet และส่งต่อไปให้client
client ก็จะยังไม่สงสัยอีกด้วย

ยกตัวอย่าง
ถ้า client ส่งrequestว่า จะเข้าใช้ gmail ด้วย
https://mail.google.com/
จะเห็นว่า การขอเข้าURLนั้นด้วย HTTPS

ตัวSSLStrip ไม่ชอบให้clientส่งข้อมูลด้วย HTTPS เพราะว่ามันดักจับแล้วเปิดอ่านไม่ได้
ดังนั้น SSLStrip จะสร้าง HTTP packet ปลอมขึ้นมาอันนึง
อาจจะใช้เป็น HTTP Response 302 ก็ได้
ซึ่งจะตีความหมายได้ว่า   URLที่ร้องขอน่ะ เจอเวปนั้นนะ แต่คุณต้องไปเข้าหน้าแรกของมันที่อยู่อีก URLนึง
แลว SSLStrip ก็จะส่ง URL แบบที่ใช้ HTTP ธรรมดาให้เป็น
http://mail.google.com
จะเห็นว่าแทบจะเหมือนเดิมเลยทุกประการ แค่ต่างกันตัวอักษรเดียว
และด้วยความที่HTTP responseเป็นแบบนั้น จะทำให้ web browser ที่clientเปิดใช้อยู่  จัดการย้ายเปลี่ยนหน้าให้เอง
โดยไม่บอกผู้ใช้ด้วย  ผู้ใช้ก็จะสังเกตได้ยากขึ้นไปอีก

แต่!!! (รอบ2)
โดยปกติแล้ว การเชื่อมต่อด้วย HTTPS ถ้าสำเร็จ จะมีลักษณะพิเศษอย่างนึงคือ
จะมีรูปแม่กุญแจขึ้นที่หน้า URL นั้น ใช่มะ

แต่สิ่งที่เราอยากได้คือแบบนี้!!

ในรูป  จะเห็นว่า client ยังส่งข้อมูลด้วย HTTP ปกติ แต่มีรูปแม่กุญแจขึ้นที่ browserด้วย
ทำได้ไง??

ถ้าใครเคยสังเกตุ จะเห็นว่าเวลาเราเข้าเวปต่างๆ จะมีโลโก้ ของๆเวปนั้นขึ้นที่ URL ด้วย
ยกอย่างเช่น Wikipedia (มีตัวW) , Yahoo (ตัว Y), google (ตัวgสีๆ)
พวกนี้เรียกว่า favicon
ก็แค่ ใส่ คำสั่งพวกนี้ลงไปใน HTML เท่านั้นเอง
<link rel="shortcut icon" href="http://www.example.com/myicon.ico">
    <link rel="icon" type="image/vnd.microsoft.icon" href="http://example.com/image.ico">
    <link rel="icon" type="image/png" href="http://example.com/image.png">
    <link rel="icon" type="image/gif" href="http://example.com/image.gif">

แค่หารูปแม่กุญแจ ใส่เข้าไปให้กับ HTTP response จากserver  และก็หารูปให้ตรงกับ browser agent ที่ใช้
แค่นี้ก็เนียนได้มากขึ้นกว่าเดิมแล้ว

Session Hijacking
SSLStrip ยังสามารถใช้ในการดักจับ session (cookie) ได้อีกด้วย
โดยปกติแล้ว การส่ง cookie นั้นจะส่งไปพร้อมกับ HTTP request เลย ก็จะทำให้ถูกดักจับแล้วเอาไปใช้งานได้เลยทันที
แต่ cookie จะมี flag สำคัญอยู่ตัวนึงคือ SSL only flag นั่นคือcookieตัวนี้จะต้องถูกส่งด้วยช่องทาง SSL เท่านั้น
แต่เราไม่อยากให้ client สร้างช่องทาง SSL นี่นา  แล้วก็คนนอกไม่สามารถแก้flag ตัวนั้นได้ด้วยนอกจาก server ที่เป็นเจ้าของ cookie เท่านั้น

SSLStrip เลยเสนอช่องทางนี้

เมื่อ Client ทำท่าจะสร้างช่องทาง SSL เพื่อติดต่อแบบ HTTPS กับ server
ในฐานะคนกลาง  attacker ก็จะทำตัวเป็นserver แล้วส่งข้อมูลกลับไปเป็น HTTP 302 เพื่อบอกให้
client ติดต่อกลับมาในแบบ HTTP แทน
พร้อมกันใน packet นั้น ก็สั่ง set-cookie ให้เอา flag SSL only ออก
ทำให้ HTTP packetต่อไปที่ติดต่อไปยังserver จะมีการแนบ cookieมาด้วย
และหลังจากนน attacker ก็ติดต่อกับ serverตามปกติเหมือนเดิม  โดยใช้cookieที่เพิ่งดักจับได้นั้น สร้างเป็น SSLไปที่server เพื่อป้องกันไม่ให้serverสงสัย

ความจริงในบทความยังมีต่ออีก เป็นเรื่องเกี่ยวกับการ phishing ด้วยการใช้ certificate จากdomainที่มีชื่อใกล้เคียงกับของจริง  แต่จะไม่พูดถึงละจบแค่นี้ละกัน

Ref: http://www.slideshare.net/SecurityTube.Net/black-hat-dc-09-marlinspike-defeating-ssl
Ref: https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf
Ref: http://en.wikipedia.org/wiki/Favicon